路由和交換技術(shù)項(xiàng)目1-2-基本的交換概念和配置課件

1、路由和交換技術(shù)項(xiàng)目1-5 VLAN間路由項(xiàng)目1-4路由概念 第一部分 交換網(wǎng)絡(luò) 項(xiàng)目1-6靜態(tài)路由項(xiàng)目1-2基本的交換概 念和配置項(xiàng)目1-1交換網(wǎng)絡(luò)簡(jiǎn)介項(xiàng)目1-3VLAN 第一部分 交換網(wǎng)絡(luò) 項(xiàng)目1-8單區(qū)域OSPF項(xiàng)目1-7動(dòng)態(tài)路由項(xiàng)目1-9DHCP項(xiàng)目1-11網(wǎng)絡(luò)地址轉(zhuǎn)換項(xiàng)目1-10訪問控制列表項(xiàng)目1-12VPN目標(biāo)導(dǎo)航交換機(jī)的初始配置配置交換機(jī)端口以滿足網(wǎng)絡(luò)需求配置管理交換機(jī)虛擬接口交換環(huán)境中的基本安全攻擊交換環(huán)境中的最佳安全實(shí)踐配置端口安全功能以限制網(wǎng)絡(luò)訪問2.1.1交換機(jī)初始配置2.1 交換機(jī)的基本配置1、交換機(jī)啟動(dòng)順序思科交換機(jī)開啟之后，它將經(jīng)過以下啟動(dòng)順序：（1）首先，交換機(jī)將加

2、載存儲(chǔ)在ROM中的加電自檢(POST)程序。POST會(huì)檢查CPU子系統(tǒng)。它會(huì)測(cè)試CPU、DRAM以及構(gòu)成閃存文件系統(tǒng)的閃存設(shè)備部分。（2）接下來，交換機(jī)加載啟動(dòng)加載器軟件。啟動(dòng)加載器是存儲(chǔ)在ROM中并在POST成功完成后立即運(yùn)行的小程序。（3）啟動(dòng)加載器執(zhí)行低級(jí)CPU初始化。啟動(dòng)加載器初始化CPU寄存器，寄存器控制物理內(nèi)存的映射位置、內(nèi)存量以及內(nèi)存速度。（4）啟動(dòng)加載器初始化系統(tǒng)主板上的閃存文件系統(tǒng)。（5）最后，啟動(dòng)加載器查找并將默認(rèn)IOS操作系統(tǒng)軟件鏡像加載到內(nèi)存，并將對(duì)交換機(jī)的控制權(quán)交給IOS。2.1 交換機(jī)的基本配置2.1.1交換機(jī)初始配置2、從系統(tǒng)崩潰中恢復(fù) 如果由于系統(tǒng)文件丟失或損壞

3、而使操作系統(tǒng)不能使用，則啟動(dòng)加載器將提供對(duì)交換機(jī)的訪問。啟動(dòng)加載器有一個(gè)命令行，可以提供對(duì)閃存中存儲(chǔ)的文件的訪問。3、交換機(jī)LED指示燈（1）系統(tǒng)LED-顯示系統(tǒng)是否通電以及是否正常工作。（2）冗余電源系統(tǒng)(RPS)LED-顯示RPS狀態(tài)。（3）端口狀態(tài)LED-當(dāng)LED為綠色時(shí)，表示選擇了端口狀態(tài)模式。此模式為默認(rèn)模式。選擇后，端口LED將顯示不同含義的顏色。（4）端口雙工LED-當(dāng)LED為綠色時(shí)，表示選擇了端口雙工模式。（5）端口速度LED-表示選擇了端口速度模式。選擇后，端口LED將顯示不同含義的顏色。（6）以太網(wǎng)供電(PoE)模式LED-如果支持PoE，則存在PoE模式LED。2.1 交

4、換機(jī)的基本配置2.1.1交換機(jī)初始配置4、交換機(jī)基本配置配置和管理CiscoLAN 交換機(jī)的方法有許多種。這些方法包括：Cisco IOS 命令行界面 (CLI)Cisco Network AssistantCisco Device ManagerCiscoView 管理軟件SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）2.1 交換機(jī)的基本配置2.1.1交換機(jī)初始配置5、交換機(jī)備份 對(duì)于客戶的請(qǐng)求，拿到客戶保存的或公司備份的配置文件后，通過反轉(zhuǎn)線將PC機(jī)串口（Com）連接到交換機(jī)的控制端口（Console），通過交叉線或直連線將網(wǎng)卡（NIC）連接到交換機(jī)的Fastethernet 0/1端口。并將PC的IP地址

5、合理設(shè)置，啟動(dòng)TFTP Server程序，通過超級(jí)終端登錄交換機(jī)進(jìn)行恢復(fù)操作，連接圖如圖所示。2.1 交換機(jī)的基本配置6、利用TFTP升級(jí)交換機(jī)系統(tǒng)配置利用TFTP升級(jí)交換機(jī)系統(tǒng)配置首先啟動(dòng)TFTP服務(wù)器軟件并進(jìn)行相關(guān)參數(shù)設(shè)置；然后在交換機(jī)上配置管理接口IP地址，再在交換機(jī)特權(quán)模式下執(zhí)行COPY命令即可，拓?fù)鋱D如圖所示。2.1.1交換機(jī)初始配置2.1 交換機(jī)的基本配置課堂實(shí)驗(yàn)1：基本交換機(jī)配置2.2 交換機(jī)的基本配置2.1.2交換機(jī)端口問題1、自動(dòng)MDIX用于啟用auto-MDIX的命令如圖所示。2.1 交換機(jī)的基本配置2.1.2交換機(jī)端口問題2、網(wǎng)絡(luò)接入層問題 showinterfaces命

6、令的輸出可用于檢測(cè)常見介質(zhì)問題。該輸出的一個(gè)最重要部分就是顯示線路和數(shù)據(jù)鏈路協(xié)議的狀態(tài)。圖表示用于查看接口狀態(tài)的摘要行。2.1 交換機(jī)的基本配置2.1.2交換機(jī)端口問題下圖顯示了showinterfaces命令輸出的示例。示例顯示了FastEthernet0/1接口的計(jì)數(shù)和統(tǒng)計(jì)信息。2.2.1 安全遠(yuǎn)程訪問2.2 交換機(jī)安全：管理和實(shí)施1、SSH運(yùn)行安全外殼(SSH)是一種提供遠(yuǎn)程設(shè)備的安全（加密）管理連接的協(xié)議。SSH應(yīng)替代Telnet來管理連接。Telnet是一種較早協(xié)議，對(duì)登錄身份驗(yàn)證（用戶名和密碼）和通信設(shè)備之間傳輸?shù)臄?shù)據(jù)都采用不安全的明文傳輸。SSH通過在設(shè)備進(jìn)行身份驗(yàn)證（用戶名和密

7、碼）時(shí)以及在通信設(shè)備之間傳輸數(shù)據(jù)時(shí)提供強(qiáng)加密，確保遠(yuǎn)程連接的安全。將SSH分配給TCP端口22。將Telnet分配給TCP端口23。第1步：檢驗(yàn)是否支持SSH。第2步：配置IP域。第3步：生成RSA密鑰對(duì)。第4步：配置用戶身份驗(yàn)證。第5步：配置vty線路。第6步：?jiǎn)⒂肧SH第2版。課堂實(shí)驗(yàn)2：配置SSH2.2.2 LAN中的安全問題1、常見安全攻擊：MAC地址泛洪 如下圖所示，主機(jī)C上的攻擊者可以使用虛假的、隨機(jī)生成的源MAC地址和目的MAC地址將幀發(fā)送到交換機(jī)。交換機(jī)將使用虛假幀中的信息更新MAC地址表。當(dāng)MAC地址表中填滿虛假M(fèi)AC地址時(shí)，交換機(jī)將進(jìn)入失效開放的模式在該模式中，交換機(jī)會(huì)將所

8、有幀廣播到網(wǎng)絡(luò)中的所有計(jì)算機(jī)上。因此，攻擊者可以看到所有幀。2、常見的安全攻擊：DHCP欺騙2.2.2 LAN中的安全問題 對(duì)交換網(wǎng)絡(luò)可以執(zhí)行兩種類型的DHCP攻擊：DHCP耗竭攻擊和DHCP欺騙。在DHCP耗竭攻擊中，攻擊者將使用DHCP請(qǐng)求泛洪DHCP服務(wù)器，以耗盡DHCP服務(wù)器可以發(fā)出的所有可用IP地址。在發(fā)出這些IP地址后，服務(wù)器無法發(fā)出更多地址，這種情況將導(dǎo)致新的客戶端不能獲得網(wǎng)絡(luò)訪問權(quán)限，從而實(shí)現(xiàn)拒絕服務(wù)(DoS)攻擊。3、常見的安全攻擊：利用CDP 默認(rèn)情況下，大多數(shù)思科路由器和交換機(jī)在所有端口上都啟用了CDP。CDP信息會(huì)定期以未加密的廣播形式發(fā)送。該信息會(huì)在每臺(tái)設(shè)備的CDP數(shù)

9、據(jù)庫中進(jìn)行本地更新。2.2.3 交換機(jī)端口安全1、保護(hù)未使用端口的安全 很多管理員所采用的一種簡(jiǎn)單方法是禁用交換機(jī)上所有未使用的端口，這樣做可幫助他們保護(hù)網(wǎng)絡(luò)，使其免受未經(jīng)授權(quán)的訪問。2、DHCP監(jiān)聽 DHCP偵聽是一種確定哪些交換機(jī)端口可響應(yīng)DHCP請(qǐng)求的Cisco Catalyst功能。端口標(biāo)識(shí)為可信和不可信?？尚哦丝诳砂l(fā)送所有DHCP消息，包括DHCP提供和DHCP確認(rèn)數(shù)據(jù)包；不可信端口只能發(fā)送請(qǐng)求。可信端口擔(dān)當(dāng)DHCP服務(wù)器，也可作為通向DHCP服務(wù)器的上行鏈路。如果不可信端口上的詐騙設(shè)備試圖將DHCP提供數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)，則該端口將關(guān)閉。3、端口安全性靜態(tài)安全MAC地址 - 使用sw

10、itchport port-security mac-address mac-address 接口配置模式命令在端口上手動(dòng)配置的MAC地址。以此方法配置的MAC地址存儲(chǔ)在地址表中，并添加到交換機(jī)的運(yùn)行配置中。動(dòng)態(tài)安全 MAC地址 - 通過動(dòng)態(tài)獲取并只存儲(chǔ)在地址表中的MAC地址。以此方式配置的MAC地址在交換機(jī)重新啟動(dòng)時(shí)將被移除。粘滯安全MAC地址-可以通過動(dòng)態(tài)獲取或手動(dòng)配置，然后存儲(chǔ)到地址表中并添加到運(yùn)行配置中的MAC地址。2.2.3 交換機(jī)端口安全4、端口安全：違規(guī)模式 要更改交換機(jī)端口的違規(guī)模式，請(qǐng)使用switchport port-security violation protect |

11、 restrict | shutdown 接口配置模式命令。5、端口安全：檢驗(yàn) 在交換機(jī)上配置了端口安全后，請(qǐng)檢查每個(gè)接口，以檢驗(yàn)端口安全是否設(shè)置正確并確保靜態(tài)MAC地址已配置正確。 要顯示交換機(jī)或指定接口的端口安全設(shè)置，請(qǐng)使用show port-security interface interface-id 命令。默認(rèn)情況下，此端口允許一個(gè)MAC地址。6、端口處于錯(cuò)誤禁用狀態(tài) 當(dāng)端口配置了端口安全時(shí)，違規(guī)可能會(huì)導(dǎo)致端口變?yōu)殄e(cuò)誤禁用狀態(tài)。當(dāng)端口處于錯(cuò)誤禁用狀態(tài)時(shí)，它是有效關(guān)閉的，此端口上不會(huì)發(fā)送或接收任何流量。注意：端口協(xié)議和鏈路狀態(tài)變?yōu)殛P(guān)閉。項(xiàng)目2綜合練習(xí)配置交換機(jī)安全功能1、實(shí)驗(yàn)背景 在PC和服務(wù)器上鎖定訪問和安裝良好的安全功能十分常見。重要的是也要為我們的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)設(shè)備（例如交換機(jī)和路由器）配置安全功能。在本實(shí)驗(yàn)中，我們將會(huì)參考一些在LAN交換機(jī)上配置安全功能的最佳做法。我們將僅允許SSH和安全的HTTPS會(huì)話。還將配置并檢驗(yàn)端口安全，以阻止任何具有交換機(jī)無法